Son una de la formas de malware más clásicas y más activas: los troyanos, esos códigos maliciosos que se disfrazan como software legítimo para entrar en nuestros equipos y robar información, espiarnos o abrir puertas traseras. Según el informe ‘Ciberamenazas 2020’ de Telefónica Tech, España sufrió el año pasado una nueva plaga en la que, a los troyanos ya conocidos, se unieron nuevas familias de troyanos brasileños, en un año en el que la actividad de los criminales se vio favorecida por la crisis del coronavirus.
A principios de año, ya recogimos el aviso de Karspersky de que los ataques con troyanos se había incrementado considerablemente en 2020. Hoy volvemos a revisar el informe ‘Ciberseguridad 2020’ de Telefónica Tech, del que ya hablamos la semana pasada. Ahora nos centramos en las amenazas de malware concretas que trataron de invadir nuestros equipos el año pasado, con especial atención a una nueva familia de troyanos diseñados en Brasil que se extendieron en 2020 por los países de habla hispana.
Tendencias generales
Entre las tendencias generales que muestra en informe, hay que destacar que el 27% de los incidentes acabaron en ransomware (secuestro de datos), una de las técnicas de cibercrimen en auge, que además ahora los criminales ofrecen como Ransomeware as a service (RaaS): los desarrolladores de este tecnología la comercializan a otros ciberdelicuentes para que ejecuten los ataques.
El vector principal de entrada del malware sigue siendo el mail, usado en un 92% de los casos, y el 48% de los archivos adjuntos maliciosos era archivos de Office.
Troyanos brasileños
Conocidos como Grandoreiro, Casbaneiro y Mekotio, estas tres familias de malware han ganado fuerza en España durante el pasado año. En general, se han distribuido por los países de habla hispana y comparten entre ellos sus características principales en lo que a encriptación, distribución y ejecución se refiere.
En abril, investigadores de IBM X-Force informaron de la aparición Grandoreiro en España a través de una campaña que usaba la COVID-19 como gancho. En las siguientes semanas, Casbaneiro se distribuyó en campañas en las que se suplantaba la identidad de organismo oficiales como la Agencia Tributaria. Respecto a Mekotio, investigadores de ESET alertaron de una nueva campaña que suplanta la identidad de la Agencia Tributaria y de la DGT.
Estos troyanos se distribuyen por campañas de habla hispana de malspam que suplantan la identidad de organismos del gobierno y grandes compañías, a través de mails que incluyen archivos adjuntos o un enlaces de descarga. Su objetivo suele ser el robo de información mediante técnicas de keylogging (registro de las pulsaciones de teclas en el equipo) o acceso a las contraseñas almacenadas. El modo de ejecución suele ser la descarga de un archivo zip que contiene otros archivos que, a su vez, son los que terminan ejecutando el malware.
Junto a estos tres troyanos principales presentes en España, hay activos también ocho malwares asociados a la misma familia de troyanos: Amavaldo, Guildma, Krachulka, Lokorrito, Mispadu, Numando, Vadokrist y Zumanek.
Malware clásico muy activo
Estas son las principales amenazas de malware ya conocidas que el informe denuncia como muy problemáticas aún:
- Trickbot: este troyano bancario destinado a robar credenciales actúa desde 2016. En 2020 evolucionó y ganó funcionalidad, especializándose en ejecutar ransomware. Tiene el problema de persistir aunque se reinstale el sistema operativo. Además, es capaz de ejecutar web injections: una técnica que modifica lo que el usuario del sistema infectado ve cuando visita websites específicos.
- QBot 2009: un malware con más de 10 años de actividad a sus espaldas. En 2020 han aparecido nuevas versiones centradas en facilitar las campañas de malspam (spam con archivos maliciosos), y una nueva versión del troyano es capaz de evadir los filtros de spam cuando se difunde en este tipo de campañas. Antes actuaba como troyano bancario y ahora difunde ransomware.
Nuevas amenazas de malware surgidas en 2020
Por supuesto, los troyados diseñados en Brasil no son el único ciberproblema que surgió el año pasado. El estudio destaca otras amenazas novedosas y peligrosas:
- Bazar Loader 2020: un troyano descubierto el pasado año y centrado en implementar Cobalt strike y otras herramientas para crear una puerta trasera en el sistema infectado. Continúa usando servicios legítimos para enviar archivos maliciosos y utiliza tecnología blockchain para eludir las acciones de mitigación.
- Cerberus: uno de los operadores detrás de este malware lo ha subastado como Malware as a Service por 50.000 dólares. En enero de 2020 es posible que surgiera una nueva versión conocida como Alien en los foros clandestinos que incluiría nuevas técnicas de evasión. A lo largo del año ha continuado atacando organizaciones de los sectores bancario y financiero. En septiembre de 2020, tras una subasta fallida, el código fue liberado en los foros clandestinos.
- Emotet: en los primeros dos meses del año, fue culpable de una explosión de campañas de mail con el coronavirus como tema. Resurgió con diferentes campañas en julio y diciembre pero, afortunadamente, en enero de 2021 se anunció su eliminación, y se le hizo desaparecer con una campaña de saneamiento que culminó en abril.